常用准入认证技术原理分析.pdf

《常用准入认证技术原理分析.pdf》由会员分享，可在线阅读，更多相关《常用准入认证技术原理分析.pdf（15页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、常用准入认证技术原理分析学习文档 仅供参考1 1 前言前言在数据网络中，小型网络如企业网、家用网等，追求的是网络简单、开放，所有人可以自由接入和使用；而在中型及大型网络如城域网、政府网和电信数据网络中，用户关心的是网络的可运营和可管理，要管理每个用户的接入、业务使用、流量等等。在可运营、可管理网络中，引入了针对用户管理的 AAA 技术，包括认证、授权和计费三个技术：认证Authentication：在用户开始使用网络时对其身份进行确实认动作授权Authorization：授权某用户以特定的方式与某网络系统通信计费Accounting：记录并提供关于经济活动确实切清单或数据认证是识别用户身份的过

2、程，而授权是根据认证识别后的用户情况授予对应的网络使用权限QoS、带宽限制、访问权限、用户策略，而计费也是根据认证后的用户身份采用对应的计费策略并记录、提供计费信息时长、流量、位置等等 ， 三个技术紧密联系但又相互独立的。 认证技术是用户管理最基本的技术。由于本次文档重点是普教行业的准入认证分析，不对计费系统进行赘述。2 2 为什么使用认证为什么使用认证2.12.1 用户的困惑用户的困惑在普教城域网中，服务提供商教育局关心的是网络可运营和可管理，要管理每个用户的接入、业务使用、流量等等。而数据网络中大量使用的是以太网交换机、路由器等设备，遵循的是典型的数据网络理念，追求的是网络简单、开放，自由

3、接入和使用。怎么才能够在数据网络中针对用户进行运营、管理呢？最基本的技术就是通过认证识别用户身份。学习文档 仅供参考2.22.2 成熟的认证技术成熟的认证技术目前市面上最为普遍主流认证技术有三种： PPPoE 认证、 WEB 认证和 802.1X认证，这三种认证从标准状态、商用情况看，技术上都已经成熟。3 3 认证方式简介认证方式简介当前最为普遍主流认证技术有三种： PPPoE 认证、 WEB 认证和 802.1X 认证。严格意义上讲， 这三种认证技术并不是真正的认证方式，每种认证技术都支持两种以上的认证方式，具体认证技术和认证方式关系如下表所示：认证技术PPPoE 认证WEB 认证认证方式P

4、AP、CHAP、EAPPAP、CHAPEAPPAP认证：密码认证协议，客户端直接发送包含用户名/口令的认证请求，服务器端处理并作回应。CHAP 认证：挑战握手协议，先由服务器端给客户端发送一个随机码challenge，客户端根据challenge，对自己掌握的口令、 challenge、会话ID 进行单向散例,即 md5(password1,challenge,ppp_id)， 然后把这个结果发送给服务器端。服务器端从数据库中取出库存口令password2,进行同样的算法，即md5(password2,challenge,ppp_id),最后，比较加密的结果是否相同；如相同 ,则认证通过。EA

5、P 认证：可扩展的认证协议，EAP 可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、使用智能卡的公钥身份验证、证书及其他身份验证。最安全的认证方法就是和智能卡一起使用的“可扩展身份验证协议传输层安全协议”，即 EAP-TLS 认证。学习文档 仅供参考4 4 认证技术原理分析认证技术原理分析4.1 WEB4.1 WEB 接入认证原理接入认证原理接入服务器对来自STA 的请求重定向到 POTRAL 服务器中，利用PORTAL页面对用户进行认证。认证系统架构图如下：基于基于 WEBWEB 的认证系统架构的认证系统架构基于 WEB 的认证系统功能实现协议栈如下：学习文档 仅供参考基于基于

6、 WEBWEB 的认证系统功能实体协议栈的认证系统功能实体协议栈4.1.2 WEB4.1.2 WEB 接入认证流程接入认证流程用户在 WEB 认证之前，必须先通过 DHCP、静态配置等获得 IP 地址。用户认真界面提交了用户名和密码之后， 接入服务器与WEB认证服务器协调工作，对用户进行认证，其步骤如下：VLANVLAN 用户接入流程用户接入流程WEBWEB 认证认证学习文档 仅供参考1-4：用户通过 DHCP 协议获取地址的过程静态用户手工配置地址即可；5：用户访问WEB 认证服务器的认证页面，并在其中输入用户名、密码，点击登陆按钮；6：WEB 认证服务器将用户的信息通过内部协议，通知接入服

7、务器；7：接入服务器到相应的 AAA 服务器对该用户进行认证；8：AAA 服务器返回认证结果给接入服务器；9：入服务器将认证结果通知 WEB 认证服务器；10：WEB 认证服务器通过页面将认证结果通知用户；11：如果认证成功用户即可正常访问互联网资源。4.1.34.1.3 三层用户的三层用户的 WEBWEB 认证认证用户没有与接入服务器二层相连，中间存在路由器等三层设备，这样用户到接入服务器的报文中只有用户的 IP 地址没有 MAC 地址信息，这种类型的用户称为三层认证用户。与二层认证用户不同的是三层认证用户的MAC 地址接入服务器获取不到，因而不能进行 MAC、IP 的绑定检查安全性不高容易

8、仿冒；ARP请求不能穿透路由器因而不能对用户进行 ARP 探测确定是否在线。对此，接入服务器要求三层认证用户必须进行 WEB 认证，不能通过绑定认证等方式上线。另外， 接入服务器支持当网络发生问题用户原先的线路不同，但有另一条线路可以访问接入服务器的情况，此时接入服务器可以通过新的 IP 包找到到达用户的新路径更新相关的信息。IP 报文触发三层用户上线的流程如下列图所示：学习文档 仅供参考1：用户的 IP 报文到达接入服务器，接入服务器为其分配资源建立预连接；2： 用户的请求被强制到 WEB 认证服务器的认证页面， 并在其中输入用户名、密码，点击登陆按钮；3：WEB 认证服务器将用户的信息通过

9、内部协议，通知接入服务器；4：接入服务器到相应的 AAA 服务器对该用户进行认证；5：AAA 服务器返回认证结果给接入服务器；6：入服务器将认证结果通知 WEB 认证服务器；7：WEB 认证服务器通过页面将认证结果通知用户；8：如果认证成功用户即可正常访问互联网资源。4.1.4 WEB4.1.4 WEB 认证用户下线流程认证用户下线流程WEB 认证用户下线流程包括用户主动下线主动下线和异常下线异常下线两种情况。用户主动下线流程如下列图所示。1：当用户需要下线时，可以点击认证结果页面上的下线机制，向 Portal 服务器发起一个下线请求；2：Portal 服务器向接入服务器发起下线请求；3：接入

10、服务器返回下线结果给 Portal 服务器；4：Portal 服务器根据下线结果，推送含有对应的信息的页面给用户；学习文档 仅供参考不含计费系统的 WEB 认证下线流程只有上面 4 步，下面是计费结束的介绍5：当接入服务器收到下线请求时，向 RADIUS 服务器发计费结束报文；6：RADIUS 服务器回应接入服务器的计费结束报文。异常下线由包含以下两种情况：、接入服务器侦测到用户下线1：接入服务器检测到用户下线，向 WEB 服务器发出下线请求；2：WEB 服务器回应下线成功；3：当接入服务器收到下线请求时，向 AAA 服务器发计费结束报文；4：AAA 服务器回应接入服务器的计费结束报文。、WE

11、B 认证服务器侦测到用户下线学习文档 仅供参考1：WEB 认证服务器检测到用户下线，向接入服务器发出下线请求；2：接入服务器回应下线成功；3：当接入服务器收到下线请求时，向 AAA 服务器发计费结束报文；4：AAA 服务器回应接入服务器的计费结束报文。4.24.24.2.14.2.1 认证系统架构认证系统架构基于 802.1x 的认证系统架构见下列图。 在此种架构下， 系统实现 IEEE 802.1x中定义的认证请求者、认证点和认证服务器的三元结构。认证请求者对应客户终端，认证点可以对应接入服务器，认证服务器对应 AAA 服务器。基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的

12、认证算法。4.2.14.2.1基于802.1x的认证系统利用EAP协议的扩展能力可以选用不同的认证算法。以 EAP-MD5 为例：学习文档 仅供参考802.1X802.1XEAP-MD5EAP-MD5认证方式交互图认证方式交互图1：在用户和接入服务器之间建立好物理连接后，用户客户端向接入服务器发送一个 EAPoL-Start 报文 如果用户是动态分配地址的， 可能是 DHCP请求报文；如果用户是手工配置地址的，可能是 ARP 请求报文，开始接入的开始；2：接入服务器向客户端发送EAP-Request/Identity 报文，要求客户端将用户名送上来；3：客户端回应一个 EAP-Response

13、/Identity 给接入服务器的请求，其中包括用户名；4：接入服务器以 EAP Over RADIUS 的报文格式向 RADIUS 认证服务器发 送 Access-Request 报 文 ， 里 面 含 有 客 户 端 发 给 接 入 服 务 器 的EAP-Response/Identity 报文，将用户名提交 RADIUS 认证服务器；5：接入服务器产生一个 128 bit 的 Challenge；6：RADIUS 认证服务器回应接入服务器一个 Access-Challenge 报文，里面含有 EAP-Request/MD5-Challenge 报文，送给接入服务器用户对应的Challen

14、ge；7：接入服务器通过 EAP-Request/MD5-Challenge 发送给认证客户端,送给用户 Challenge；学习文档 仅供参考8：客户端收到 EAP-Request/MD5-Challenge 报文后，将密码和 Challenge做 MD5 算法后的 Challenge-Password，在 EAP-Response/MD5-Challenge回应中把它发送给接入服务器；9：接入服务器将Challenge-Password 通过 Access-Request 报文送到RADIUS 用户认证服务器，由 RADIUS 用户认证服务器进行认证；10：RADIUS 用户认证服务器根据

15、用户信息判断用户是否合法，然后回应认证成功/失败报文到接入服务器。如果成功，携带协商参数，以及用户的相关业务属性给用户授权；11：接入服务器根据认证结果，给用户回应EAP-Success/EAP-Failure，通知用户认证结果。如果认证失败，则流程到此结束。如果成功，可以进行后续的授权流程。4.2.24.2.2 用户下线流程用户下线流程用户下线流程包括用户主动下线主动下线和异常下线异常下线两类情况。用户主动下线流程图1：客户端主动向认证点发送 EAP-Logoff 消息；2：认证点向认证服务器发送计费停止请求的报文；3：认证服务器向认证点回计费停止请求报文的回应。异常下线流程图学习文档 仅供

16、参考1：认证点检测发现用户已经不在线；2：认证点向认证服务器发送计费停止请求的报文；3：认证服务器向认证点回计费停止请求报文的回应。4.34.3 二维码认证原理二维码认证原理4.3.14.3.1 认证流程图认证流程图这里的二维码认证主要是介绍锐捷网络 BYOD 无线接入认证。 该种方式是指访客的 Phone/Pad/PC 连上 SSID，访问网址，弹出二维码图案，已认证上线普职工接待者的使用二维码扫描工具，帮助访客扫码上网。学习文档 仅供参考1：访客关联到二维码认证所在的 SSID；2：访客的终端打开浏览器访问网络，AC 拦截访问的 URL，并自动重定向到二维码认证的 portal 页面，该步

17、骤中存在以下几种情况：部分终端会 35 秒内自动打开浏览器显示二维码页面，进入第 3)步。如果不会自动弹出，则访客需要手动打开终端的浏览器访问任意一个外网地址例如baidu，将会自动跳转到二维码页面。如果您配置的二维码认证的 SSID 所在 VLAN 无法解析 DNS， 那么必须手动打开终端的浏览器访问一个 IP 地址或可访问的域名 URL，将会跳转到二维码页面。3：访客将二维码图案给内部职工进行扫描；4：内部职工使用扫描软件对二维码图案进行扫描，获取到该二维码图案中所含的 URL 信息，取出 UserIP、MAC 地址、NASIP 到 SMP 中去读取访客的流水号(目的是为了创建一个访客账号

18、， 会以流水号进行命名， 例如扫描者_访客_1,扫描者_访客_2, 扫描者_访客_3，以此类推；5：SMP 向 AC 发起 portal 认证流程：由于二维码认证不需要密码，但是对于 AC 的 radius 认证又需要密码， 因此这里的密码后台固定了。 SMP 使用获取到的访客流水号作为用户名，以及固定的密码(ruijie_qrcode_)，把用户名和密码通过portal协议发给 AC， AC 以二代Web认证的方式把用户名和密码封装到 Radius报文中进行认证，提交 Radius 报文给 SMP；6：认证成功后，SMP 分别向内部职工和访客反馈认证成功信息:；7：打开访客上网通道，访客上线

19、成功。在上面的整个认证过程中，管理员无须为来访者创建用户名和密码，只需要接待访客的内部职工为来访者扫描二维码就会自动创建一个包含有接待者信息的用户名， 可以追溯到该访客是由谁开户并接待的，从而在减轻管理职工作的情况下，安全性也有所保障。目前 SMP 支持已经通过 1x 认证成功的用户、Web认证成功的用户、MAC 地址认证成功的用户为访客扫描二维码，而访客是不允许给其他访客扫描二维码的，以确保网络的安全边界。注意：接待者职工必须在 SMP 是在线的，且必须有在线 IP 地址，否则无法扫描。学习文档 仅供参考4.3.2 URL4.3.2 URL 参数说明参数说明wlanuserip：当前终端获取

20、的 IP 地址wlanacname：AC 的名称ssid：所在的 SSIDnasip：NAS(AC)的 IP 地址mac：终端的 MAC 地址4.44.4 二维码名片认证原理二维码名片认证原理4.4.14.4.1 认证流程图认证流程图二维码认证的方式可以有效的解决方案用户上网权限问题，但是频繁的职工接待扫描操作在一定程度上造成了用户使用体验差的效果。本节介绍 SMP 的另外一种二维码认证方式-二维码名片认证：由管理员创建一个对公账户，在 SMP的自助服务平台上生成接待二维码，将扫描的操作转移给访客，减小内部职工的接待压力。二维码名片认证流程图二维码名片认证流程图1：访客关联到二维码认证所在的

21、SSID；学习文档 仅供参考2：访客的终端打开浏览器访问网络，AC 拦截访问的 URL，并自动重定向到二维码名片认证的 portal 页面，该步骤中存在以下几种情况：部分终端会 35 秒内自动打开浏览器显示二维码页面，进入第 3)步。如果不会自动弹出，则访客需要手动打开终端的浏览器访问任意一个外网地址例如baidu，将会自动跳转到二维码页面。如果您配置的二维码认证的 SSID 所在 VLAN 无法解析 DNS， 那么必须手动打开终端的浏览器访问一个 IP 地址或可访问的域名 URL，将会跳转到二维码页面。3：接待者将二维码名片图案给访客进行扫描；4：访客使用扫描软件对二维码图案进行扫描，获取到

22、该二维码图案中所含的 URL 信息向 SMP 发起认证流程。SMP 取出 URL 里面的 CommonUserID、uniqueCode 到后台查看该UserID 是否具备二维码接待访客的权限，以及uniqueCode 是否一致。随后生成访客用户名，比方“扫描者 _访客_1, 扫描者_访客_2”；5：SMP 向 AC 发起 portal 认证流程：由于二维码认证不需要密码，但是对于 AC 的 radius 认证又需要密码， 因此这里的密码后台固定了。 SMP 使用获取到的访客流水号作为用户名，以及固定的密码ruijie_qrcode_，把用户名和密码通过 portal 协议发给 AC，AC 以二代 Web 认证的方式把用户名和密码封装到Radius 报文中进行认证，提交 Radius 报文给 SMP；6：认证成功后，SMP 分别向内部职工和访客反馈认证成功信息；7：打开访客上网通道，访客上线成功。二维码名片认证利用二维码信息里面嵌入连接请求，请求携带了普通职工允许授权创建访客的信息。通过二维码扫描工具读取的 url 之后，向 SMP服务器发送创建访客的请求。SMP 通过判断是否有权限后，创立访客信息，允许扫描二维码名片的终端上网。学习文档 仅供参考